Infiziert -.-"

[zock]

Hab wieder ein problem -.-" Im Verzeichniss: C:/WINDOWS/system32 befindet sich bei mir ein versteckter ordner namens ini mit zwei dateien datei namens borat.exe und data.dat drin. Mein AV sagt, dass es ein virus ist, den ich auch lösche aber bei jedem neustart is die datei wieder da -.-"

Ich würde ja meinen PC formatieren wenn da jetzt nicht das große problem wäre:

Ich habe meine Windows CD verlegt -.-" und mein Internet spackt total (ich lade nur noch mit 200bytes/s!!!!!!!!!! Und brauch 20sek für google.de)

Liegt das mit der Geschwindigkeit am Virus? Und wie krieg ich den Virus endgültig vom PC runter? -.-"

[Korni22]

guck mal bei google
das die datei net weggeht sieht aus wie ein persistant bifrost server oder so!

[bLaCk.LiGhT]

versuch mal rauszubekommen welcher trojan/virus dich befallen hat...
wenn du das weißt, kannst du den namen des schädlings mal bei google
eingeben. dann bekommst du oft hilfeseiten der avhersteller wo typische
merkmale des schädlings wie zB erstellte Registyeinträge aufgelistet werden.
dann kannst du bei dir im system systematisch alle modifikationen die der
schädling vorgenommen hat rückgängig machen!
ich denke das man so auch einen persistant server löschen kann

Zusätzlich kannst du ja noch die ip-range oder den host auf den der troja connected
in deiner FW blocken.

mfg bL - hoffe ich konnte helfen

[Korni22]

erstell mal nen log mit hijack this und poste den!

[zock]

Das hat sich mittlerweile erledigt...nun das nächste problem -.-"

Bei mir geht andauernd der Inetexplorer mit iwelcher Werbung auf und da steht,dass mein pc infiziert sei usw.

Ich hab ma in Prozesse geschaut, da is zweimal IEXPLORE.exe offen und wenn ich Prozess Beenden drücke bleibt der prozess einfach da, also er lässt sich net beenden! Ich hab hier ma HiJackThis-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:04:05, on 28.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {416644b0-ab4a-4d1d-9eba-9de444f5adf4} - C:\WINDOWS\system32\reforola.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPM539e90db] Rundll32.exe "C:\WINDOWS\system32\monelare.dll",a
O4 - HKLM\..\Run: [tatidemiwu] Rundll32.exe "C:\WINDOWS\system32\fozehuka.dll",s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [BLASC] "E:\Spiele\Buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [onlinesecond] C:\DOKUME~1\Matthias\ANWEND~1\MEOW32~1\Hidetitlemapi.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\haferabo.dll c:\windows\system32\monelare.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\monelare.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\monelare.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4700 bytes

[zock]

Ich hab die Dateien net gefunden, aber hab einfach um ganz sicher zu gehen meinen PC formatiert und neuinstallt! Trotzdem thx!